压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

引言：2022年06月30日，國家互聯網信息辦公室發布了《個人信息出境標準合同規定（征求意見稿）》（“中國標準合同”），標志著這個在國際上被廣泛采用個人信息跨境流動保護性措施首次在我國開始“生根發芽”。

標準合同或稱標準合同條款（Standard Contractual Clause或SCC）系監管部門為了確保個人信息在出境之后保護水平不低于本國標準而要求數據傳輸方與境外數據接收方簽署一個官方制定的合同模板。該做法通過合同的約束力將境內的管轄權“延伸”至境外，達到一定“境內法域外適用”的效果，以保護處于相對弱勢地位的個人信息主體權益。

隨著數據跨境流動的數量急劇增長以及相關安全風險的不斷涌現，世界上很多國家和地區也都先后推出了自己的版本。鑒于中國標準合同版本正在征求意見，筆者將世界上主要國家和地區已頒布的標準合同進行逐一研究，形成系列文章，以資借鑒。

一、英國SCC的出臺背景

2022年2月2日，英國的個人數據保護機構——英國信息專員辦公室（Information Commissioner’s Office）（“英國ICO”）根據英國脫歐后所制定的《英國通用數據保護條例》（“英國GDPR”）與《英國2018年數據保護法》（Data Protection Act 2018）第119A條發布了標準數據保護條款（Standard Data Protection Clauses）（“英國SCC”）。該條款已于2022年3月21日正式生效，標志著在通過標準合同進行個人數據跨境傳輸方面，英國走出了逐漸獨立自主于歐盟的第一步。

英國GDPR脫胎于歐盟GDPR，且兩者之間的差別不大。因此，英國SCC在適用范圍、對簽署方所起的作用以及個人數據保護的最終效果上因此也與歐盟SCC基本一致。然而，英國SCC大刀闊斧地重塑了歐盟SCC的行文邏輯與架構，在不降低或改變個人數據保護標準的前提下做到了簡潔、明晰與有效。

二、英國SCC的基本架構

英國SCC目前分為國際數據傳輸協議（International Data Transfer Agreement）（“英國IDTA”）與歐盟委員會標準合同條款國際數據傳輸附件（International Data Transfer Addendum to the EU Commission Standard Contractual Clauses（“歐盟SCC英國附件”）兩份相互獨立的文件，供數據傳輸方與接收方任選其一使用。

除了上述兩份文件外，英國還允許暫時繼續使用舊版歐盟SCC。這主要是有鑒于英國內外有大量的個人數據控制者（Controller）與處理者（Processor）曾于英國脫歐之前在歐盟GDPR的框架下簽署了舊版歐盟SCC，而且舊版歐盟SCC即使在歐盟也仍處于過渡期。因此，英國ICO并未強制要求立刻廢除舊版歐盟SCC并采用英國SCC，而是給予了長達兩年的過渡期。具體來說，舊版歐盟SCC在2022年9月21日之前仍然可以簽署，而之后雖然不能簽署，但只要個人數據跨境傳輸的范圍、處理方式與處理目的等方面沒有發生重大變化，舊版歐盟SCC的有效期可以持續到2024年3月21日（該寬限期甚至要長于歐盟的）。

圖1：舊版歐盟SCC在英過渡期示意

三、英國IDTA

作為英國SCC中最重要的文件，英國IDTA對歐盟SCC在形式上進行了大幅調整，同時又在內容上與后者保持了實質性一致。

1. 四大組成部分

英國IDTA分為四大部分：表格、額外保護條款、商用條款以及強制條款。其中，前三部分可由簽署方自行修改，僅需保留實質內容且不損害個人數據在境外所應獲得的適當保護即可。第四部分強制條款則禁止更改或增刪，簽署方只允許刪除其中不適用的條款或是為了確保正確引用目的而修改所引用的前三部分序號內容。

(1）表格部分

英國IDTA的簽署方可以利用表格填寫個人數據跨境傳輸的相關信息，包括數據傳輸方與數據接收方的詳情及分類（即屬于控制者還是處理者），個人數據類別、數據主體類別、目的、期限，英國GDPR是否適用于數據接收方等。表格還要求簽署方對某些重要事項作出選擇，包括傳輸活動是否涉及敏感個人數據，個人數據類別等信息是否隨主合同（Linked Agreement）修訂而自動更新，法律適用與管轄地（英格蘭與威爾士、北愛爾蘭、蘇格蘭三地中擇一），單方終止權，再傳輸（Onward Transfer），以及數據安全要求等。

(2）額外保護條款部分

作為第二部分的額外保護條款，是英國根據歐洲法院Schrems Ⅱ判決的要求與精神所而加入的。根據該判決，數據傳輸方與數據接收方在進行以標準合同作為合法性基礎的個人數據跨境傳輸之前，都必須要先自行對數據接收方當地法律等因素完成傳輸風險評估（Transfer Risk Assessment，“TRA”）；如果TRA的結果顯示，標準合同無法完全確保個人數據在境外也能獲得與境內相當的保護水平，則雙方必須采取額外措施盡量補足保護水平的差異；如果確實無法補足，則應放棄跨境傳輸。額外保護條款要求雙方列明根據TRA結果所需額外執行的個人數據保護措施。

(3）商業條款部分

商業條款是英國IDTA中靈活性最強的部分。其主要作用是在雙方未簽訂主合同時提供一處能簡短描述雙方除個人數據跨境傳輸之外的其他權利義務的空間。

(4）強制條款部分

強制條款則是英國IDTA的正文，也是實質性約定雙方權利義務的部分；其中又分為總則條款（§1—§10、§25、§36），數據傳輸方（§11），數據接收方（§12—§17），數據主體權利（§18—§22），第三方根據當地法獲取傳輸數據（§23—§24），違約（§29—§31），爭議解決（§32—§35）等七個小節。

2. 與歐盟SCC的區別

(1）正文架構與行文措辭

英國IDTA雖然在實質要求及內涵上與歐盟SCC保持一致，但在正文架構以及行文措辭上與后者區別很大。

英國IDTA取消了歐盟SCC一直堅持采用的模塊（Module）化設計，不再略顯死板地將大部分條款都分為控制者向控制者傳輸（C—C場景）、控制者向處理者傳輸（C—P場景）、處理者向處理者傳輸（P—P場景）、處理者向控制者傳輸（P—C場景）這四大模塊，而是使用了“如果數據接收方是處理者或次級處理者，則……”等語句，將需要因應雙方處理地位不同而變通規定的情況作為例外，其他情況按照統一適用來設計，簡化了行文邏輯與架構。

此外，英國IDTA使用了更為精煉、簡潔、易懂的英語去表達能與歐盟SCC各條款近乎相同的含義，并且大幅減少了英國IDTA的條款內部相互引用以及引用UK GDPR條文的情況，便于相關各方（尤其是簽署方以及數據主體）理解與使用。

(2）適用范圍

英國IDTA的適用范圍是相較于歐盟SCC實質性變化最大的方面之一。

目前歐盟SCC僅適用于受歐盟GDPR管轄的數據傳輸方向不受歐盟GDPR管轄的數據接收方進行的個人數據傳輸，但對于位于歐盟境外且個人數據處理活動受到歐盟GDPR域外管轄的數據接收方卻并不適用。也就是說，歐盟GDPR的適用范圍只關注法律管轄的變化（“跨管轄境”），而不關心物理國界的變化（“跨物理境”）。針對這種情形，歐盟委員會（EU Commission）已宣布將針對僅跨越物理境而不跨越管轄境的情況發布較為簡化版的歐盟SCC。

圖2：歐盟SCC目前適用范圍示意

而英國IDTA則畢其功于一役，對于跨越管轄境以及跨越物理境兩種情況均可適用。無論數據接收方是否受到英國GDPR的域外管轄，只要數據接收方位于英國境外，數據傳輸方就可以與其通過簽署英國IDTA進行個人數據跨境傳輸。而位于英國境外但受到英國GDPR域外管轄的數據傳輸方，向任何不位于英國境內的接收方，也可以適用英國IDTA。換句話說，只要滿足了跨越物理境或跨越管轄境兩項條件之一，英國IDTA即可適用。

同時，英國IDTA又規定，如果數據接收方已經受到英國GDPR的域外管轄，則某些與數據接收方義務相關的條款（§13、§15、§21）不適用，而應繼續統一適用英國GDPR的規定。這種做法遵循歐盟的思路，為已經受到英國UK GDPR管轄的數據接收方提供了較為簡便的標準合同版本。

圖3：英國IDTA適用范圍示意

(3）仲裁條款

英國IDTA的仲裁條款在實質內容方面也與歐盟GDPR偏離。不同于歐盟SCC強制要求以法院訴訟解決爭議，英國IDTA的各簽署方以及數據主體均有權選擇仲裁。而且，其仲裁條款要求適用《倫敦國際仲裁院規則》（Rules of the London Court of International Arbitration），以倫敦為仲裁地，英格蘭法為仲裁地法，且必須以具備英國數據保護法律經驗的律師為獨任仲裁員。

四、歐盟SCC英國附件

由于英國與歐盟之間緊密的經貿聯系，許多企業往往會在兩地均有業務，更因為歐盟GDPR的影響力比英國GDPR更大，且后者未對前者作出實質性修改，英國ICO特意允許了自英國的個人數據出境活動仍然可以使用當前版本的歐盟SCC，僅需附加一個歐盟SCC英國附件。

歐盟SCC英國附件分為表格與強制條款兩部分。表格部分主要是供使用此附件的各簽字方填寫相關信息，包括各方的基礎信息，所簽署的歐盟SCC中各簽字方所選的模塊（Module）、可選條款、附加信息，以及雙方是否有權在新版歐盟SCC英國附件發布時中止歐盟SCC英國附件等。雙方有權在不改變原文實質含義的情況下修改表格部分。

而強制條款部分則是歐盟SCC英國附件的正文，禁止任意修改。該部分主要起到調整各簽字方所簽署的歐盟SCC的作用。經過比較可以發現，這些強制條款也并未對歐盟SCC作出實質性的修改或調整，而僅僅規定了：如何簽署與解釋歐盟SCC英國附件，該附件與歐盟SCCs的效力位階，該附件的適用范圍（歐盟的個人數據跨境傳輸不適用），歐盟SCC中提及歐盟、歐盟機構以及法律的部分替換為英國和英國對應的機構以及法律等其他非實質性修訂的內容。

值得注意的是，強制條款部分雖然允許歐盟SCC根據歐盟委員會的修訂而隨時修改，但同時也規定，僅有當前版本的歐盟SCC是經批準的歐盟SCC（Approved EU SCC）；如果日后歐盟委員會發布的新版歐盟SCC與當前經批準的歐盟SCC不一致，除非前者能為數據主體提供更大程度的保護，否則后者的效力優先。這一規定保證了歐盟SCC英國附件相對于歐盟SCC能保持一定程度的獨立性，避免出現其隨歐盟指揮而走的尷尬局面。

此外，強制條款部分中關于管轄法院的內容取消了歐盟SCC第四模塊（P—C場景）第18條所允許的第三國法院管轄，改為統一要求在英國英格蘭及威爾士法院、蘇格蘭法院、北愛爾蘭法院三者之中擇一管轄，在這方面的修改具有一定程度的實質性。

五、評價與展望

現行英國SCC總體而言兼顧了英國主權獨立、脫歐過渡期、英國與歐盟間緊密經貿關系以及英國GDPR受歐盟GDPR極深影響等幾大方面因素的考量，既有過渡辦法和可以與歐盟SCC共同使用的歐盟SCC英國附件，也有完全獨立構建的英國IDTA。

對于剛剛完成脫歐進程的英國而言，英國IDTA盡管在實質上并未與歐盟SCC分道揚鑣，卻已完成了在形式與風格上脫離歐盟SCC思路的第一步，并成功將相關法律爭議的解決完全收歸英國境內的法院或仲裁機構，是英國在個人數據保護領域收回其立法及司法主權的第一步。

而歐盟SCC英國附件從其目前的內容與形式上來看，不僅僅是英國個人數據跨境傳輸的一種脫歐過渡時期的權宜之計，更將會是一項長期有效、可以與歐盟SCC共存的法律文件。同時，對于在英國與歐盟兩地設有機構并需要以標準合同的途徑向英國與歐盟之外傳輸個人數據的跨國公司來說，可以通過與數據接收方僅簽署歐盟SCC外加歐盟SCC英國附件的便捷方式，來同時滿足英國與歐盟兩大地區的個人數據跨境傳輸要求。

此外，我們也可以預見英國SCC未來還會發生新的變化。這不僅是因為英國ICO即將發布英國IDTA與歐盟SCC英國附件的解釋與指南以及TRA指南，更是因為英國政府已在英國下議院宣布了改革英國GDPR的立法計劃，旨在賦予英國企業更大的靈活性——包括移除小企業的數據保護官（DPO）和數據保護影響評估（DPIA）要求，以及改革英國ICO等。這些舉措勢必將導致包括英國IDTA在內的各項英國個人數據保護制度進一步與歐盟GDPR的各項制度漸行漸遠。

來源:網絡安全應急技術國家工程實驗室